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Buenos Aires, Marzo 22 de 2021. 





Al Sr. Fiscal de la 
Fiscalía Federal n° 1 


Su despacho. 


Tengo el agrado de dirigirme a Ud. en mi carácter de Fiscal de la 
Procuración General de la Nación a cargo de la Unidad Fiscal Especializada en Ciber- 


delincuencia -UFECI- (res. P.G.N. n° 3743/15), en respuesta a la solicitud de colaboración 


formulada en el marco del caso Coirón n° 32732/2019, caratulado e € y hn 


otros s/ violación de correspondencia”, en trámite ante esa dependencia a su cargo. 
La solicitud se registró internamente en el legajo UFECI n° 1682/2020, lo 


que le pedimos que cite para futuras intervenciones. 


1. Antecedentes del caso. 
La presente asistencia se originó con su pedido de colaboración en el marco 
del legajo y se concretó con la recepción de los documentos correspondientes al expediente 


que procedímos a analizar en función de nuestro flujo de trabajo interno. 


Según surge de la información remitida, el caso bajo análisis involucró la 
filtración de una serie de docurriéntos en formato digital que contenían información privada 
de la Policía Federal, que se encontraban resguardados en servidores pertenecientes a la 


propia fuerza y también en la plataforma Google Drive. 


La maniobra habría sido posible mediante la conjugación de dos vectores de 





ataque 


Por un lado, se habría logrado montar en los servidores web de la 
Superintendencia de Bienestar de la Policía Federal, puntualmente, en el URL 
www .supbienestar.gob.ar/2018/documentación/! login.php, una página web que le solicitaba 
al visitante que introduzca ciertos datos, en particular, su nombre de usuario y Contraseña. 





1 URL, del inglés Uniform Resource Locator, es un identificador de recursos uniforme Fstán formados por una secuencia 
de caracteres, de acucedo a un formato modélico y estándar, que designa recursos en una red, como Interact. Los URL 
fueron una innovzción ca la historia de la Internet, Fueron usadas por primera vez por Tim Berners-Lee en 1991, paca 
permitir a los autores de documentos establecer enlaces en la World Wide Web (WWW). Desde 1994, en los estándares de 
Internet, el concepto de "URL" ha sido incorporado dentro del más general de URI, pero el término URL todavia se 
utiliza ampliamente. Aunque nunca fueron mencionadas como tal en ningún estándar, mucha gente crec que las iniciales 
URL significan universal -en lugar de 'uniform'- resource locator (localizados universal de recursos). Esta se debe a que en 
1990 era así, pero al unirse las normas "Funcional Recommendations for Interet Resource Locators” (REC 1736) y 
"Functional Requirements for Uniform Resource Names" (RFC 1737) pasó a denominarse "Identificador Uniforme de 
Recursos" (REC 2396). Sin embargo, la letra "U" en URL siempre ha significado "uniforme". EL URL es una cadena de 
caracteres con la cual se asigna una dirección única a cada uno de los recursos de información disponibles en Internet. 
Existe un URL único para cada página de cada uno de los documentos de la WWW, para todos los elementos de Gopher y 
todos los grupos de debate Usenet, y así sucesivamente. El URL de un recurso de información es su dirección en Internet, 
Ja cual permite que el navegador web la encuentre y la muestre de forma adecuada. Por ello, cl URL combina el nombre de 
la computadora que proporciona la información, el directorio donde se encuentra, el nombre del archivo, y el protocolo a 
usar para recuperar los datos para que no se pierda alguna información sobre dicho factor que se emplea para el trabajo. 
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Ello podría haberse logrado mediante el uso de técnicas de inyección de 
código PHP y/o otras que podrían haber permitido el acceso en forma ilegítima a los 
sistemas y la creación de la página en cuestión. La referida página se encontraba diseñada de 
modo tal que la información suministrada por el visitante, por medio de un formulario, 
fuera recopilada en un archivo que luego podía ser relevado por los autores de la maniobra. 


Por el otro, los atacantes enviaron correos electrónicos a las casillas creadas 


sobre plataformas gratuitas de webmail por diferentes dependencias de la Policía Federal 
Argentina, principalmente, cuentas de Gmail. Para ello, se valieron de una dirección creada 


ara la ocasión, div.supbienestar(Mhotmail.com, con la que simulaban escribir en nombre de 













de correo electrónico Gmail utilizadas por las dependencias policiales, co; 
divantidrogastucuman(Qgmail.com y  arcaoctava.mesopotamia(Mgmail.com, 


también al servicio de almacenamiento de Google Drive asociado a las mismak, y así, a un 
a Federal 







gran volumen de datos informáticos de carácter privado pertenecientes a la Políá 
Argentina. 

Tras ello, publicaron la información en la desp webz, en un sitio montado 
mediante TOR, bajo el URL 
https: / /zggtzf26idaoazu7777zhl22qwewbchpkI5lgca53htfvf2i7umvudid.onion. A su vez, el 
URL fue publicado, junto a otras direcciones que permitían acceder a dicho sitio -entre 
ellos, http://lagorraleaks.co.nf-, por medio de la cuenta de Twitter @lagorraleaks, y en un 
grupo de Telegram administrado por el usuario (Ogorraleaks. La persona detrás de las 
referidas cuentas, cabe mencionar, se identificaba como “[S]”. Luego surgiría un nuevo 


canal de Telegram, creado por el usuario (Dlagorra, en el que se hacía también alusión a la 


maniobra en cuestión. 


En base a los términos del pedido, se ha estudiado el material que se nos 
proporcionó del caso conforme los protocolos de trabajo internos de la UFECI, y las 
conclusiones a las que arribamos serán expuestas en los párrafos que siguen, en los que 
también se hará referencia al modo de analizar la información ya recabada y a la forma de 


obtener la información aún no recolectada. 








2 Básicamente, aquella parte de la Internet que, por diversas razones, no indexada por los buscadores tradicionales. A ella 
sólo se puede acceder por medios habilitados al efecto como al que nos referiremos a continuación. 
3 Sistema conocido como red “TOR” {The Onion Router, por sus siglas en inglés) que consiste en un proyecto que tiene 








como principal cometido mantener anónima la comunicación entre los usuarios. Para cumplir con esc objetivo se 2z 0 
desarrolló un software específico y propone el uso de encaminamiento de cebolla de forma tal que los mensajes viajen S < 
desde el origen al destino a través de una serie de routers especiales llamados “routers de cebolla” (en inglés onion ronters). y E 
Así, si el usuario se conecta a internet desde un país “A”, su tráfico pasará por varios routers (“B”, “C”, “D”) antes de 2 E 
llegar al destino “E”; el receptor del tráfico verá que el tráfico proviene de “D” y no de “A”. z 
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Corresponde aclarar que el análisis se limitará, en principio, a aquellas aristas 
de la investigación alcanzadas por nuestra materia específica; por lo que pueden existir 
líneas de investigación alternativas, ajenas a la especialidad, que podrían no llegar a estar 


consideradas. 


Aclaramos también que no hemos recibido todos los documentos que 
integran el caso, con lo cual puede haber elementos que no hayamos visto y, por ende 


considerado. 

Y refiriéndonos al material que recibimos, partiendo de la base que nuestra 
intervención es sobre una investigación ya iniciada en la que no hemos participado desde el 
principio, nuestro análisis será hacia adelante (en el sentido de señalar qué consideramos 
que faltaría hacer), asumiendo que la información recolectada hasta el momento ha sido 


correctamente (desde el punto de vista técnico) incorporada al proceso. 


En otras palabras, por diversas razones no auditaremos cada uno de los 
pasos dados por los investigadores, sino que tomaremos como correcta la_ información 


volcada en el caso. 


2. Análisis de los elementos de prueba. 

Según hemos podido reconstruir de lo que surge del expediente, los 
primeros indicios de la maniobra se detectaron el 25 de julio de 2019, cuando diferentes 
dependencias policiales comenzaron a recibir, en las casillas de correo de Gmail los correos 
electrónicos mencionados que indicaban provenir de la dirección 
div.supbienestar@hotmail.com logrando mediante engaños, y con la ayuda de la página 
montada en el URL www.supbienestar.gob.ar/2018/documentación /login.php, obtener las 
credenciales que les permitieron acceder en forma ilegítima a las cuentas 
divantidrogastucuman(Agmail.com y areaoctava.mesopotamia(Agmail.com. 

Se trata de lo que conocemos como maniobras de phishing, que podemos 
traducir a nuestro idioma como captación engañosa de datos personales. El origen de este 
término anglo sajón es discutido, ya que para algunos sería un acrónimo de la expresión 
password harvesting fishing (cosecha y pesca de contraseñas) y para otros refiere a la palabra 
“bbreaking” (utilizada en la década de 1980 para designar una práctica consistente en el 
acceso ilegal a redes telefónicas). No obstante la doctrina es conteste en que se trata de una 
modalidad de la llamada ingeniería socials, que constituye un método para obtener 
información de las personas con o sin el uso de la tecnología. 

Confirman otros autoresé que el phishing es “la práctica de obtener información 
confidencial a través de la manipulación de usuarios legítimos, con la finalidad de cometer posteriores 


defrandaciones...” 





+ En rigor de verdad, a pocas horas del hecho recibimos un reporte que señalaba a un posible autor de la manicbra y por 
eso lo enviamos a la fiscalía (Formamos en ese entonces el Legajo UFECI $+1466/2019) 

5 Cfr. Mitnick K y Simon, L. “The Art of Deception, Controlling thebuman element of security”. Indianápolis, 2002. 

6 Vaninet Hugo y Vaninetti Gustavo, “Estafa por medios electrónicos. Análisis del art. 173, inc.16 (ley 26388). Crítica, 
Manipulación informática. Estafas cometidas vía Internet. El Derecho. Buenos Aires 15-9-2008. 
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La forma concreta de obtener las credenciales es variada. Si bien se 
mencionan en foros especializados algunos casos de troyanos” o keylegerss instalados en los 
dispositivos de la víctima que copian los datos requeridos y los envían a los autores del 
hecho, en la gran mayoría de los casos que hemos analizado desde la UFECI, la víctima 
suele entregar sus credenciales bajo engaño luego de, en la mayoría de los casos, recibir un 


correo aparentemente legítimo. 


En lo que respecta a la publicación de la información, el medio utilizado 
(TOR) no revela información o identificadores de interés para su análisis, aunque los 


autores se valieron también de diversos canales de difusión, concretamente, el usuario d 






Twitter (Dlagorraleaks y el usuario de Telegram (Dgorraleaks. 
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debería construirse a partir de evidencias objetivas que se obtengan de la reconstrucción del 

al 
hecho. Esto implica recolectar toda la evidencia digital posible y, a partir de ella, recorrer un Ki 
camino muchas veces difícil, para intentar atribuir el hecho a un individuo o un grupo de 


individuos. 
pi 


Policía de la Ciuca: 


Algunos de esos caminos se recorrieron en la causa y otros parece que se 


abandonaron sin razón. Además, los investigadores habrían tomado ciertos atajos en ese 
recorrido, efectuando atribuciones en base muchos argumentos genéricos y pocas 


evidencias concretas; esa senda debería abandonarse. 











POr 
J 











2.1, div. supbienestar@hotmail.conm 

Un recorrido implicó, con bastante lógica, trabajar en torno a la dirección de 
correo electrónico div.supbienestar@hotmail.com, utilizada para perfeccionar la maniobra 
de suplantación de identidad. 

Sin embargo, tras requerírsele información al respecto, la empresa Microsoft 


Corporation no brindó mayores datos en torno a las direcciones IP? de creación o desde las 





7 Se entiende por “troyano” al tipo de mahrare que tiene la capacidad de alojarse en computadoras y permitic el acceso a 
usuarios externos, a través de una red local o de Internet, con el fin de recabar información o controlar remotamente a la 
máquina anfitriona —bosf.. Suele see un programa alojado dentro de una aplicación de apariencia legítima, y se instala en el 
sistema al ejecutar dicha aplicación. 

Ml keylogger es un software pequeño y fácil de instalar en una PC. Lo que hace es dejar un log (registro) de cada tecla que 
se presiona y cada clic delmouse qu efectón el usuario de la PC. 

? La dirección IP identifica una conexión a intemet desde un dispositivo (computadora de escritorio o portátil, celular, 
tableta o cualquier otro aparato con conexión a internet —televisores inteligentes, heladeras -esto es lo que se lama 
“internet en las cosas”o lo) en un momento determinado, Esas direcciones IP, que son únicas a través de toda la red de 
redes, están formadas por un grupo de cuatro segmentos (ej. 200.55.243.205, cl número mínimo es 0.0.0.0. y el máximo 
255.255.255.255.) y se encuentran distribuidas mundialmente en bloques y son asignadas a los clientes por proveedores del 
servicio de internet —I5P- (ejemplos de ISP en nuestro país son “Fibertel” -de Cablevisión Argentina S.A.-, “Speedy” —de 
Telefónica de Argentin: .-, y “Arnet” —de Telecom Argentina S.A). En la actualidad este protocolo de direcciones 1P, 
denominado IPv4 se está reemplazando por uno nuevo, denominado 1Pv6 ya que límite en el número de direcciones de 
red admisibles en el IPv4 está empezando a restringir el crecimiento de Internet y su uso. El muevo protocolo admite 
direcciones IP mucho más largas y alfanuméricas, de forma tal que cada vez más dispositivos conectados a internet podrán 
toner una dirección IP asignada exclusivamente a ellos. 
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cuales se accedió a la misma, limitándose a indicar que la cuenta había sido creada el 23 de 
julio de 2019, a nombre de Superintendencia de Bienestar, y que registraba como país de 


creación los Estados Unidos (fs. 1602) 


En ese sentido se advierte que entre el inicio del expediente (fs. 1) y la 
decisión judicial de requerir la información (fs, 42) pasaron unos 14 días en los cuales puede 
S 


haberse perdido valiosa información. 
E 


Si bien es cierto que durante ese tiempo el caso pasó por al menos tres 
jueces (el que estaba de turno con la dependencia policial que inició las actuaciones hasta el 


momento de su sorteo, la que pasó a intervenir luego del sorteo y quien en definitiva se 


quedó a cargo por declinación de competencia) los investigadores originarios podrían, desde 
İS 

un primer momento, haber preservado los registros de las cuentas (art. 16 Convenio sobre 

ĖS E CE 


la Ciberdelincuencia) como es de estilo para evitar que la volátil evidencia electrónica se 
pierda, 


2.2. Servidores accedidos ikgitimamente. 

Se recolectó la información resguardada en los servidores con relación al 
sitio web engañoso, y se constató que las credenciales provistas por las víctimas eran 
resguardadas en un archivo de texto identificado como “Log.txt” (fs. 32 y siguientes del 
legajo). En el documento se encontraron diversas direcciones de email asociadas a 
contraseñas y direcciones IP, hallándose mencionada entre éstas la casilla 
areaoctava.mesopotamia(Qgmail.com. A su vez, se relevó la información de las conexiones 


registradas por el firewall. 


Dadas las particularidades del caso, se consideró que la página en cuestión 
pudo haber sido montada mediante técnicas de inyección de código PHP, 


Se analizó otro de los archivos obtenidos en el marco de las referidas 
labores, identificado como “error.log” -respecto al cual no se indicó si correspondía a los 
registros del firewall, del servidor o de qué servicio-, en el que se constató que el 10 de 
agosto de 2019, desde la dirección IP 199.58, correspondiente al proveedor de 
servicios de internet Full Tech Solutions S.H (con sede en Villa Elisa, provincia de Entre 
Ríos), se había accedido o intentado acceder a diferentes rutas dentro del servidor (£s.708 


del legajo). 


Huelga decir que las circunstancias que rodearon el montaje de un sitio de 

phishing (captación engañosa de datos) dentro de una web oficial deberían analizarse 
¿ÓC 

exhaustivamente no sólo para deslindar responsabilidades sino también para que a futuro 


estas situaciones no se repitan. Otro tanto respecto de la cuestionable, desde varios puntos 
de vista, utilización de cuentas de correo no oficiales por parte de agencias policiales, la falta 


de adopción de medidas de seguridad que hubiesen minimizado los riesgos (como activar la 





10 Ver, entre otcos documentos, párrafo 155 del reporte explicativo al Convenio sobre la Ciberdelincuencia. Versión en 
español en https://2m.coc.int/16802f1403 y, en inglés, UNODC - Practical Guide for Requesting Electronic Evidence 
Across Borders htps:/ /www.unodc.org/unode/en/ frontpage/2019/ January! unode-and-partncss-release-practical-guido- 
for-requesting-clecteonic-evidence-across-boarders.html 
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verificación en dos pasos) y la utilización de servicios de almacenamiento en la nube 


administradas por empresas extranjeras donde, encima, se guardaba información sensible. 





2.3. Twitter. 
Se le solicitó a Twitter International Company la preservación de 


información de la cuenta identificada con el nombre de usuario (Dlagorraleaks (vı 











legajo de prueba y 42 del principal). Cabe señalar que, si bien posteriormente fe cursó una 
solicitud similar con respecto a la cuenta (Dlagorraleaks2, no se vislumbra de dónde fue que 
se obtuvo dicho nombre de usuario y su eventual relación con la maniobra [ver fs. 42 del 
legajo de prueba). 

Posteriormente, se libró un oficio solicitando la entrega de 14 información 
básica de suscriptor! del usuario identificado como (Dlagorraleaks2.0 (ver fs. 


legajo de prueba, y fs. 44 del principal). Más allá de que la empresa no dio respueNa a dicho 


ON 
o 
E 

Q 

E 
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B 
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requerimiento, tampoco se logra advertir la relación de aquél nombre de usuario con el caso 
bajo estudio en tanto, como ya se mencionó, el usuario desde el cual se habría difundido el 
ataque sería (Dlagorraleaks, de acuerdo a lo que se desprende de las diversas capturas de 


pantalla incorporadas al legajo de prueba y al expediente principal, 





En principio, además, Twitter sólo entrega información a pedido de jueces 
locales (ver https://help.twitter.com/es/rules-and-policies/twitter-law-enforcement- 
support), de forma tal que debería haberse cursado una solicitud de asistencia basada en el 
art. 18,1 de la Convención de Budapest y no un pedido de entrega voluntaria como se hizo 


con otras empresas que si lo hacen”. 


En definitiva, esta línea de trabajo, para nosotros, bastante relevante parece A 
haberse abandonado y debería intentar retomarse, pese al tiempo transcurrido. 


2.4, Correos electrónicos accedidos ilegitimamente. 

EÌ 28 de julio de 2019 se recibió un mail de div.supbienestar@hotmail.com 
en la dirección divantidrogastucuman@gmail.com. El 29 de julio de 2019, a las 0:42 hs, se 
constató un acceso ilegítimo desde la dirección IP 199.58. y a las 0:39 hs desde la 
dirección IP 45.232 correspondientes a los proveedores Full Tech Solutions S.H y 





Federación Net (con sede en con sede en San Martín 515, Federación, Provincia de Entre 


Ríos), respectivamente. 





11 La información básica del suscriptor está definida por la legislación estadounidense en la Federal Stored Communications Act 
18 U.S.C., sección 2703 (e) (2), y consiste, en términos generales, en datos proporcionados por el usuario y datos 
recolectados por la empresa. Entre los primeros están el nombre del usuario, sos datos personales (nacionalidad, fecha de 
nacimiento, lugar de residencia, ocupación, gustos, etc), direcciones de correo altemativas o números de teléfono 
(utilizados cada vez más para verificar y/o recuperar las cuentas). Entre los segundos están la fecha, hora, zona horaria y 
dirección IP de conexión al crear la cuenta y el registro de los últimos accesos a la cuenta (también con fecha, hora e IPU 
de conexión). 

12 Para ver más acerca de los tipos de información y el estándar aplicable, ver la “Guía de buenas prácticas para obtener 
evidencia electrónica en el extranjero”, elaborada por la UFECI y la DIGCRI, disponible co https://goo.gl/49WGCP 
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El mismo día, se recibió un mail de la misma casilla en la dirección 
arcaoctava.mesopotamia(Qgmail.com. El 28 de julio de 2019, a las 20:01 hs, se constató un 
acceso ilegítimo desde la dirección IP 35.238 y a las 22:09 hs desde la dirección IP 
199.53 M0 correspondientes a los proveedores Google LLC y Full Tech Solutions S.H., 


respectivamente. 


2.5. Federación.net 

La dirección IP 45.232 se hallaba asignada al prestador de servicios 
de internet Federación.net. 

Tras solicitarle información en torno al cliente detrás de la misma, la 
compañía indicó que se trataba del usuario Maringa Maderas S.A., con domicilio en calle 
nro. 2, Parque Industrial Federación (ver fs. 314 del legajo de prueba). 

Cabe mencionar que la empresa en cuestión parecería ser legítima, por lo 
que la hipótesis que podría surgir a la luz de lo expuesto podría girar en torno a una posible 
intrusión ilegítima a su red y/o servidores, y su posterior utilización, por parte de los 


autores, para llevar a cabo los accesos detectados. 


Resultaría de interés contar con los logs de acceso de sus servidores y 


cualquier otro registro vinculado a la actividad de los dispositivos vinculados a la red, si es 
que a esta altura todavía se conservan. 


2.6. Google LLC. 

En cuanto a la dirección IP 35.238. la misma pertenecería a Google 
LLC. 

Resultaría de interés requerirle información a la compañía, en tanto podría 
tratarse de un servicio de servidor virtual privado (VPS) contratado por los autores de la 
maniobra, sobre el cual podrían haber montado una máquina virtual para llevar a cabo 
algunas de las actividades detectadas, por lo que la información registrada por Google LLC. 


podría brindar nuevos elementos de interés para el esclarecimiento del caso. 


Puede librarse un oficio solicitando cooperación directa, pero lo más 
probable es que se requiera una orden de juez local, 


Es posible también que, por el tiempo transcurrido, no se conserve 
información asociada a la asignación de esa dirección IP. 


2.7. Full Tech Solutions S.-H. 

Con respecto a la dirección IP 199.58.P se estableció que se encontraba 
asignada a la compañía Full Tech Solutions S.H. 

Dicha empresa informó que la misma estaba asignada en las circunstancias 
de tiempo indicadas a un servicio de VPS contratado en forma electrónica por una persona 
que brindó el nombre de GH CHN, el D.N.I. a un domicilio en | 
MN ce esta ciudad, los teléfonos 1154400 y 11438 y el correo electrónico 


F 





PR constatándose a su vez una cuenta de Facebook asociada a 
nombre de M8 Indicó además que el pago del servicio se había realizado por 
medio de la plataforma MercadoPago. 

A su vez, se informó que el alta había sido solicitada desde la dirección IP 
186.111. -correspondiente a Telecom Personal-, usando * un dispositivo 
marca/modelo Redmi 6A. Se indicó que se registraron accesos a la VPS desde la dirección 
IP de Full Tech Solutions S.H. 199.58.MW, y desde las direcciones IP 138.197. MN y 
142.93.MMM ambas asignadas al proveedor de servicios DigitalOcean. El usuario registró 
actividad también desde una IP /hostname host MN telecom.net.ar. El 15 de 
agosto de 2019 el usuario solicitó dar de baja el servicio VPS, ocasión en la que se valió de 


la dirección IP 165.227 MN también de DigitalOcean. 





telefonía celular -como en el caso de la dirección IP 186,111. 





S 









host telecom.net.ar-, pero las compañías no pudieron brindar datos sobre los 


clientes detrás de las mismas, ya que las direcciones IP eran asignadas medianteW] sistema 
NAT», 






Subcomisa 





Se realizó una copia forense del servidor en cuestión, y se analizó luego su 
contenido. 

Fue posible establecer, de acuerdo a lo informado por la División 
Investigación de Delitos Tecnológicos (ver fs. 445 y ss del principal), que la cuenta de 
Telegram que administraba el grupo en el que se anunció la filtración (@gorraleaks) 
registraba inicios de sesión desde las direcciones IP 170.51.M 170.5 MN y 
186.12 todas ellas de AMX Argentina S.A. (Claro), constatándose que las primeras 


dos surgían también del registro de accesos correspondientes al mail 
¿MI (2 gmail.com, a la luz de lo informado por Google LLC (ver fs.263 del legajo 
de prueba). 


En la ocasión, se pudo obtener también una copia de los contactos 





asociados al usuario de Telegram y de las conversaciones mantenidas con diferentes 


usuarios del referido servicio de mensajería. 


Asimismo, se constató que se había utilizado la aplicación TeamViewer para 


acceder remotamente al escritorio de dicha terminal (ver fs.116 del principal). 








CIUDAD 


13 El mateo de ted o Carrier Grade Nat es un sistema implementado para mitigar el agotamiento de las direcciones IP 
versión 4o IPv4. Lin términos sencillos, el proveedor de internet (lelecom, por ejemplo) en vez de asignar a cada equipo 
de sus clientes una TP pública (que, si son IPv4 se están agotando) les asigna una IP privada y luego, con un equipo 








ei 
conectado entre los usuarios y la Internet, transforma en pública. De esa forma varios client 'salen” a internet con la mA 
misma IP pública aunque dentro de la red tienen direcciones IP privadas distintas. Asi funciona, por ejemplo, en las redesd SS, 
del PIN o del MPF. El problema no es la implementación del sistema sino que los proveedores suelen no registrar el aa. 
universo de clientes que usaron la misma IP pública en un momento determinado. 04 
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2.8. DigitalOcean. 

Se mencionó que las direcciones IP 138.197. E, 142.03 y 
165.227. MMM se encontraban asignadas a DigitalOcean (con sede en 101 Av. Of the 
Américas, 10th floor, New York, Estados Unidos), que brinda diferentes servicios 
asociados a internet, entre ellos, la provisión de servidores virtuales privados (VPS). Sin 
embargo, tras requerirle información, la empresa indicó que la misma debía ser requerida 


mediante exhorto (ver fs. 598 del legajo de prueba). 


No nos queda claro si la solicitud de asistencia fue enviada o no, o si se 
preservaron los registros asociados a la espera de su libramiento. 

Es probable que a la fecha la información haya sido purgada de los registros 
de la empresa, pese a lo cual es una senda que debería retomarse para agotar las 
posibilidades 


2.9. TeamViewer. 

Se le requirió a la compañía TeamViewer GmbH (con sede en Jahnste. 30, 
73037, Göppingen, Alemania) que brindara información a partir de los identificadores 
relevados por personal policial con relación a los usuarios que habrían utilizado una 
instancia de la aplicación TeamViewer para acceder, remotamente, al servidor VPS 
administrado por Full Tech Solutions S.H. 

La empresa respondió al exhorto cursado a tal efecto, indicando que sólo 
poseía información en torno a uno de los identificadores (1349 BM). Señaló que el 
usuario se había registrado el 3 de agosto de 2019, mediante la dirección IP 199.58. MEEI, 
que había accedido por última vez el 4 de agosto de 2019, y que habría utilizado en la 
ocasión el sistema operativo Windows. 

Tal como puede apreciarse, la dirección IP relevada es la misma que ya fuera 


mencionada anteriormente, y que correspondía al servidor VPS de Full Tech Solutions S.H. 


2,10. MercadoLibre. 

Mercado Libre S.R.L. informó sobre el usuario asociado al pago efectuado a 
Full Tech Solutions S.H., identificado en su plataforma como CO (ver fs. 
110 del legajo de prucba). 

El usuario brindó el nombre GM CN. imágenes del D.N.I. n° 
MM con un domicilio distinto al registrado por la firma Full Tech Solutions S.H., 
IE Berazategui, Provincia de Buenos Aires. Se registró con el mail ya 
mencionado, (gmail.com, los teléfonos 1143 -ya informado por Full 
Tech Solutions S.H.- y GOGE, y utilizó para acceder a la cuenta, al igual que en el caso 
anterior, un dispositivo Xiaomi Redmi 6A. 

Se identificaron además dos de las direcciones IP utilizadas para crear y para 
acceder a la cuenta: 186.111 MEM y 181.90 (ver £s.111 del legajo de prueba), 


ambas correspondientes a Telecom Personal. La primera de ellas, cabe mencionar, fue 





utilizada por el usuario de la cuecen IO en forma contemporánea, 


para acceder y para firmar los términos y condiciones de la casilla de correo electrónico (ver 
fs.263 del legajo de prueba). 

La división policial interviniente procedió a agregar la línea telefónica 
so como contacto en un teléfono y constató que en la plataforma WhatsApp 
existía un usuario asociado al mismo, el cuál exhibía como imagen de perfil el logo de 
MercadoLibre, y ostentaba una leyenda que indicaba que se trataba del servicio técnico de 


dicha plataforma y de MercadoPago (ver fs. 858 vta. del legajo de prueba). Se esta 











también que se trataba de un teléfono con característica del estado de Kentuch 


Unidos (+1 606 MM. 


En lo que respecta a la identificación de las personas detrág de la cuenta 


CI. el análisis no se acotó a los datos personales suminigtrados por el 


, Estados 


usuario en la plataforma, sino que se avanzó sobre diferentes aristas. 
Para empezar, se comprobó que se encontraba relacionada con tras cuentas 
registradas en la plataforma MercadoLibre. Nos enfocaremos sobre aquéllas quá resultaron 
dirimentes a la hora de identificar a los imputados: 
L II, E y s IE 
En este sentido, se destaca que un dispositivo utilizado para acceder a la 


cuenta identificada inicialmente se utilizó también en aquélla identificada como 
TAN, xcg;st:2ca 2 aombre de JE CRI TIL DNI. o? IN eo 
la que se consignó el correo clectrónico AMM (gmail.com y el teléfono 


351 MMM (ver f5.111 vta). Se registraron accesos desde diversas direcciones IP, 


am 





incluyendo la 181.9. (ver fs. 992 del legajo de prueba), constatada en la cuenta de 
Cn 

Por otra parte, al cotejar los registros de conexiones de los correos 
electrónicos ¿MW ()'gmail.com y PA Oe <o, provistos por 
Google LLC (ver fs. 262 y 263 del legajo de prueba), se identificó una dirección IP 
coincidente en ambos casos, la 181.9. MW el día 22 de julio de 2019, con una diferencia 





de solo un segundo entre el acceso a una y otra cuenta. 

CHN registraba también operaciones de compra de una batería 
para Xiaomi Redmi a la vendedora Ln, cuenta que 
se hallaba a nombre de LEMEE SY > LE, D.N.I. e MN, <on corteo 


electrónico II O gmail.com, teléfonos 11530 y GOGH -este último 
verificado por MercadoLibre-, y el domicilio en la calle MN de esta ciudad (ver fs. 








113 y ss. del legajo de prueba). Se advierte que la línea mencionada en último término, 
c06 MM, coincide con uno de los teléfonos verificados también en la cuenta de 
E. 

Por otra parte, el usuario TE había efectuado envíos de 
dincro al usuario TAM y, al igual que la anterior, 
compras de componentes de Xiaomi Redmi (ver fs. 112 del legajo de prueba). 
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que había sido usada por una persona de características similares a las de si MI 
RI y por otro sujeto, cuyas características coincidían com las de un hombre 
identificado a la postre como PE a O (ver fs. 1027 del legajo de prueba). 

El nombre de OP había trascendido previamente, en tanto se habían 
constatado comunicaciones entre el abonado 3425 -a nombre de AB como ya 
se indicó- y hk línea 3425000 -a la que el usuario 
LI también realizó recargas, tal como surge de fs. 
113 del legajo de prueba- que se encontraba a nombre de PR AM OP (ver ‘s. 1134 
del legajo de prueba). Se constataron además en las intervenciones telefónicas 
conversaciones entre los usuarios de ambas líneas, en la que se aludía al de ésta última como 
FIN, de lo que se deduce que el titular sería efectivamente quien utilizaba la línea. 

Con respecto al abonado 34240 se logró constatar una conversación 
entre “JN y una mujer llamada <>, por medio de los abonados 34240 y 
3490, respectivamente, en la que este último le dijo a “LIN que iba a vender el 
teléfono (ver fs. 1558 del legajo de prueba). 

Luego, en una comunicación posterior entre los mismos abonados, se 
pudo identificar que el apellido de “LB” sería GM En esa misma llamada, quien 
utilizaba la línea 342448 no era ya “JB sino una persona llamada “CB, quien le 
pidió la dirección para enviarle el dinero y pagarle el teléfono que le había comprado “a su 
marido”. Finalmente, se observó una comunicación entre los teléfonos 34240] y 
3425M en la que “CP volvió a hablar con la mujer identificada como SY 
MI REN, y le indicó que había cambiado el teléfono para poder hablar más con 
ella (ver fs. 1558 in fine del legajo de prueba). 

Lo expuesto, conjugado con lo señalado en párrafos anteriores, permite 
deducir que el aludido “CM” sería CM DI AM En lo que respecta a la 
identificación de “JW”, se contaba con el apellido de quien sería su esposa, GM. Según 
se logró establecer luego, en el ya mencionado penal II de Las Flores se encontraba alojado, 
en forma contemporánea a A y VE CN un hombre identificado como JH 
JH GH, según informó la división policial, lo que debería desprenderse de las 
actuaciones incorporadas a fs. 1207/1224 del legajo de prueba (circunstancia que no pudo 
cotejase, en tanto no se acompañaron las fs,1209/1224 en los archivos escaneados provistos 
a la Unidad Fiscal). 

Cabe mencionar que, de acuerdo a lo plasmado en diversos informes por 
parte de la división policial, de las supuestas escuchas telefónicas (que se encontrarían 
incorporadas también en el referido rango de fojas) se desprendería que una persona 
identificada como “IM VI utilizaba, con anterioridad, la línea 34248 y que 
en el referido penal se encontraba alojada también una persona identificada como IB 
HE VO 

Finalmente, con respecto a los usuarios CMA y 
SIEM, se corroboró que en el referido penal 11 de Las Flores estuvo alojado al 
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mismo tiempo que los antes nombrados AM AM OM, quien durante su 
permanencia allí habría recibido visitas de CM GM OB (de acuerdo a lo 
informado por la División policial que intervino en la investigación, en tanto no se 
aportaron a la Unidad copias de las respectivas constancias), cuyos datos se constataron en 
la primera de las cuentas. Cabe mencionar que también habría recibido visitas de MIN 
OM OM y de SI BE OM, lo que adquiere relevancia en tanto 
CI tuvo de compañero de celda a AM AM OB y habría recibido, 
visitas de MB OB OM y SE BI O. 


2.12. Cuenta de Telegram. 

Como se mencionó anteriormente, se realizó una copia forense dd} servidor 
en cuestión, y se analizó luego su contenido (ver fs. 445 y ss del principal), constitándose 
que la cuenta de Telegram que administraba el grupo en el que se anunció la filiación 
(COgorraleaks) había sido utilizada desde allí mediante una aplicación, por lo que fue posible 
acceder al detalle de los contactos del usuario, los cuales habrían sido importados del 
teléfono celular en el que se utilizó la cuenta, 

Se advierte que uno de los teléfonos verificados de la cuenta de 
MercadoLibre TI, el abonado 3513M, se hallaba registrado en la 
lista de contactos con el nombre de “A” (ver fs. 413 del principal). A su vez, bajo el nombre 
“dx”, se hallaba agendado el número 34254, cuyo titular, como ya se indicó, era UN 
MI REN (ve: ís. 414 del principal). 

Se observó también un contacto nombrado “mma”, que registraba el 
número de abonado 3424, línea a la que el usuario identificado como 
CI le cealizó múltiples recargas de crédito a través de la plataforma de 
MercadoLibre (ver fs. 447 del legajo de prueba). 

Adquiere relevancia en este punto la extracción de información realizada 
sobre el teléfono marca Samsung, modelo SM-G318H, secuestrado en la celda que ocupaba 
AM A OM, que permitió constatar la existencia de un contacto identificado 
como “Mami” que ostentaba la referida línea, y una conversación, a través de WhatsApp, en 
la que dicho contacto refería “Dios quiera te devuelva el celu de EN” (ver fs. 1477 vta. 
del legajo de prueba). Posteriormente se corroboró que dicha línea pertenecía efectivamente 
a la madre de AM A O (ver fs. 1246 del principal). 

A la luz de lo expuesto, es posible inferir que la cuenta de Telegram en 
cuestión habría sido utilizada en un dispositivo que pudo haber sido usado oportunamente 
por CM DE E y AR AB OM, eo tanto la mencionada aplicación 
posee la funcionalidad de importar a la cuenta la información correspondiente a la agenda 
de contactos del dispositivo móvil en el que se utiliza. 

No obstante, no se descarta que haya sido utilizado también por otros 
compañeros de celda, en tanto ya hemos visto en párrafos precedentes algunos casos en los 


que una misma línea telefónica era utilizada por más de un interno. En línea con ello, se 
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constataron múltiples vínculos entre los antes nombrados y VI CN. por lo que no 


se descarta que aquél haya utilizado también el mismo dispositivo en alguna ocasión. 


Si bien se le requirió a los proveedores de servicios telefónicos de las 
diversas líneas constatadas entre los contactos mayor información en torno a sus titulares y 
las comunicaciones efectuadas, gran parte de la información no fue anexada al legajo, por lo 


que no pudo ser cotejada, sin embargo, se considera de suma importancia su análisis, a la 
luz con los demás informes de titularidad y listados de llamadas, a los efectos de buscar 
posibles relaciones y corroborar los demás vínculos enunciados por el personal policial que 
llevó a cabo la investigación (en particular, los que se desprenden del informe de fs.1534 del 
legajo de prueba). 

Del mismo modo, y tal como se sugerirá, resultará de particular interés 


identificar los contactos registrados en la totalidad de los dispositivos secuestrados en el 


marco de la investigación, a los efectos de establecer si en alguno de ellos se encuentran 
asentados los mismos contactos que se verificaron en la cuenta de Telegram, lo que 


permitiría asociarlo a la maniobra. 


2.13. Nueva cuenta de Telegram. 

La División Investigación de Delitos Tecnológicos constató que el 15 de 
agosto de 2019 el grupo de Telegram originario, creado por el usuario (Ogorraleaks e 
identificado con el título #lagorraleaks2.0, fue cerrado o dejó de ser público. Luego, el 16 de 
agosto, surgió un nuevo grupo, titulado “La Gorra Leaks 2.0”, administrado por el usuario 
Olagorra. En esa misma fecha, en el nuevo grupo se publicaron los que serían los nuevos 
grupos vinculados a la maniobra: t.me/lagorraleaks, lagorraleaks2 y lagorraleaksteam (ver 
fs.201 y ss. del principal). 

Posteriormente, personal policial entrevistó a RA JN CN, quien 
habría concurrido en forma espontánea indicando que tenía información de interés para el 
caso. Aportó un teléfono celular en el que se encontraba instalada una aplicación de 
clonación, mediante la cual se constató la existencia de una cuenta de Telegram (ver fs. 531 
y ss. del legajo de prueba). 

Según se desprende de las capturas de fs. 538/539 del legajo de prueba, el 
grupo administrado por dicho usuario se titulaba “#Lagorra Leaks 2.0”, registraba el URL 
de invitación t.me/LagorraLeaks, y había sido creado el 16 de agosto de 2019, A fs. 
547/548 surge que el usuario poseía asociada la línea +5422. El usuario poseía a 
su vez otro grupo, registrado también el 16 de agosto, bajo el título “La Gorra Leaks 
Team”, cuyo URL resultó ser t.me/LagorraLeaks2. En dicho grupo, su propietario indicó 
que podían contactarlo por medio del usuario (Dlagorra (ver fs. 541 y 544/545 del legajo de 
prueba). 

Se advierte que ambos grupos fueron creados con posterioridad a la 
desaparición del grupo originario, y si bien el URL del primero de ellos coincidiría con el 


originario, ello podría responder a que aquél fue eliminado, por lo que para el 16 de agosto 
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podía encontrarse ya disponible nuevamente. El usuario que se encontraría detrás de estos 
nuevos grupos (@lagorra) difiere del propietario del grupo primigenio (@gorraieaks). 

En síntesis, no encontramos elementos que objetivamente asocien_2 
e | con el grupo y el usuario de Telegram utilizados para difundir inicialmente la 
maniobra, por lo que podría tratarse, tal como lo habrían dejado entrever los mensajes 
plasmados en aquéllos grupos, de un accionar tendiente a simular que se trataba del autor 
del ataque informático bajo estudio. 


2.14, Vinculación con casos similares, 

Pese a toda la actividad probatoria detallada previamente que parte de la 
base del análisis de elementos objetivos, como el acceso ilegítimo a las cuentas-4 
intrusadas gracias a las técnicas de phishing y a los servidores de la Policjá Federal, se 
constata a fs. 67/69 del principal un informe en el que la División Investigatión de Delitos 
Tecnológicos introduce los nombres de cuatro personas a las cuáles findicaba_como 

osibles sospechosas de la maniobra: RAM DAM MI MI (cl VE 
CI, Javier Smaldone y A El y a partir de publicadones relativas a 
un hecho sobre el que nos referiremos más adelante; la toma de control, èg 2017, de la 
cuenta de Twitter de la por entonces Ministra de Seguridad, Patricia Bullrich, casoxque £ 


conocido como “La Gorra Leaks” 
AX _AKÉKKÁKÉKÁK<KÁ 


A partir de lo expuesto, se realizaron una serie de medidas tendientes a 
comprobar o descartar la vinculación de los nombrados con el presente caso. Se 
constataron diferentes elementos que señalaban a VI CN como uno de los posibles 
artífices de la maniobra, respecto a los cuáles ya hemos hecho alusión precedentemente, 

En cuanto a RIM DI MA ME se mencionó, además de su 
imputación en aquél hecho anterior, la publicación deliberada de una foto suya en el grupo 


de Telegram por parte de los autores. 


avier Smaldone, por otro lado, habría sido mencionado también en uno de_ y; 


los grupos que fueron creados posteriormente, 
Finalmente, todos ellos, junto con AM EM FE habrían 


hecho alusión a lo ocurrido, cuando la situación tomó estado público, por medio de sus 
redes sociales, deslizando diferentes valoraciones al respecto. 

Se apreció además que todos ellos poseerían conocimientos en múltiples 
áreas de la informática compatibles con los que deberían poseer los autores para perpetrar 


una maniobra de esta naturaleza. 


En lo que respecta a las menciones realizadas en los grupos de Telegram, va 


de suyo que no constituyen elementos de suma relevancia probatoria. Por un lado, 


Smaldone y M on figuras más o menos públicas, conocidas -por diferentes motivos- en 
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presumir un vínculo de la naturaleza sugerida. 


Cabe señalar que el caso analizado tomó rápidamente estado público, por lo 
que no sorprende que una gran cantidad personas relacionadas con dichos sectores hayan 
mostrado un interés legitimo, emitido diferentes opiniones sobre lo sucedido y publicado 
información del caso a través de las redes sociales, Así, las publicaciones y las referencias 
que pudieran haber efectuado cualquiera de los nombrados sobre el caso y sus 
conocimientos en la materia tampoco podrían interpretarse como un indicio de su 
participación en los hechos. 


Ahora bien, lo cierto es que las medidas llevadas a cabo en función de la 


sospecha que se deslizó sobre los nombrados no habrían arrojado, de momento, nuevos 


elementos capaces de refrendar una hipótesis incriminatoria con respecto a ME y 
TEE. 
——— 


La situación de Smaldone, si bien similar a la de los anteriores, amerita un 
AAA M 


mayor desarrollo. 


En un informe agregado a fs. 515 y ss., la división policial interviniente 


elaboró una serie de argumentos tendiente a sustentar la imputación hacia el nombrado. 


Por un lado, se intentó validar la hipótesis partiendo del señalamiento 
realizado por terceros en redes sociales y otras plataformas de internet. Se mencionó 
también que el nombrado había aludido en ocasiones a diversos ataques informáticos que 
tuvieron lugar en el país y brindaba información al respecto; que realizó publicaciones en las 
que cuestionaba el sistema de voto electrónico; que mostraba en sus redes conductas de 
“hostigamiento” -textual- hacía el personal policial que investigaba causas conexas, como así 
también, aversión a la policía, y que mencionaba en algunos de sus mensajes a usuarios 
vinculados a aquellas causas. 

Desde nuestro punto de vista es un conjunto de apreciaciones sin rigor 
científico ni anclaje concreto en elementos objetivos del caso (las evidencias recolectadas, a 


las que hicimos referencia anteriormente, parecerían dirigir la investigación hacia otras 
E _____€A Ó__ÓGOÓO 
personas), que pretenden vincular a un perfil determinado de persona con un hecho. O, en 


realidad, a un posible perfil de persona inferido de las expresiones públicas en una red social 





concreta que tiene una lógica comunicacional específica; deberíamos tener en claro que los 
seres humanos somos mucho más que la porción nuestra que se expresa en redes sociales, 
además de que esa expresión puede no reflejar necesariamente lo que realmente somos y 
pensamos. En definitiva, las apreciaciones parecen ser propias de otras épocas, colisionan 
con el derecho a la libertad de expresión y no deberían ser tomadas en cuenta como 
premisas para construir un caso. 
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Se introdujo además que en los ataques se visualizó información técnica 
concordante con las descriptas por el actor, tanto en Twitter como en su ewrriculum vitae. 
Para empezar, la maniobra involucró el uso de servicios de VPS brindados por la firma 


DigitalOcean, empresa que Smaldone utilizaría o habría mencionado en sus redes sociales. 


Sin embargo, cabe destacar que se trata de una empresa con cientos de miles 
de usuarios, reconocida mundialmente, con varios años de trayectoria en el mercado, es 


decir, una empresa cuyos servicios son utilizados potencialmente por gran parte de los 


profesionales del rubro. 
Algo similar ocurre con los conocimientos en programación que fueron 


traídos también a colación, ya que los lenguajes PHP, Python y Java se encuentran entre los 


lenguajes de programación más estudiados y utilizados en la actualidad. 
En cuanto al servidor web NGINX, que Smaldone utilizaría en su sitio wi 


cabe señalar que se trata de un programa informático open source utilizado en alrededor de 






tercio de los sitios web activos. 
En lo que respecta a la coincidente versión del programa utilizada pod 


e 

y p 2 3 ou 
Smaldone y por los autores de la maniobra (1.16.1), es dable afirmar que ello no respondería $ Bö 
; T y PE á © 
necesariamente a una cuestión de preferencia o accesibilidad, sino, probablemente, a que se [o 


trataba de la última versión estable del programa que se hallaba disponible al momento del 


hecho. 
La mención de la compañía de telefonía celular Personal, que sería utilizada 


por Smaldone, y que coincidía con la que le brindaba servicio a algunas de las líneas 


utilizadas para realizar la maniobra, carece de cualquier tipo de relevancia en un mercado f o 9 


como el nuestro, en el que el servicio es brindado fundamentalmente por tres empresas. 
A modo de síntesis, se trata de supuestas particularidades que, debido a la | 


cantidad, pretenden generar la falsa percepción de que son capaces de reducir el número de 
E E A É 
sospechosos en un grado tal que permitiría sindicar a un posible responsable. Es una 


construcción errónea. 
o 









No caben dudas de que las personas que llevaron a cabo la maniobra tenían 


conocimientos en la materia. 
La dificultad -y, en rigor, el objetivo de la investigación- radica en extraer de 


la reconstrucción de los hechos evidencias que permitan atribuir el hecho a una persona o 
un grupo de personas. En ese camino, si el autor del hecho es sofisticado utilizará varias 


capas para enmascarar su identidad, entre ellas servicios a nombre de terceros respecto de 


o O 
) 





los cuales un investigador irreflexivo enderezaría la pesquisa. 


Es por eso que la vinculación de personas al caso por tener determinadas 


habilidades informáticas (porque todo se reduce a eso) no es suficiente. Un enorme número 


de individuos responderían a ese perfil y, con ese criterio, deberían también ser Zz Q 
? g 


investigados. Nuevamente son argumentos sin rigor y deberían no tomarse en cuent; 
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Los elementos que se plantean como más objetivos, tampoco son 





suficientes. 

En cuanto a la proximidad entre su domicilio (ME dle esta 
ciudad) y el domicilio consignado al contratar el servicio de FullTech (MM) o el 
domicilio de entrega de los productos adquiridos por algunos de los usuarios de 
MercadoLibre mencionados anteriormente (MN), se advierte que, más allá de las 
apreciaciones sobre la distancia existente entre los tres domicilios, las tareas llevadas a cabo 
no permitieron corroborar que Smaldone fuera habido o conocido en sus inmediaciones 
(ver fs. 544 vta). 

Se mencionó además que Smaldone había estado cerca del domicilio de la 
empresa FullTech en fechas próximas a la contratación de sus servicios. Al respecto, debe 
tenerse en cuenta que los servicios de esta naturaleza suelen contratarse en forma remota, 
tal como ocurrió en el caso que nos ocupa, por lo que se desconoce cuál es la hipótesis a 
partir de la cual su vinculación con el caso podría verse reforzada a partir de aquélla 


proximidad. 


Más allá de lo expuesto, a partir del entrecruzamiento realizado con la ayuda 
del sistema 12 (ver fs. 1534 y ss. del legajo de prueba), se habría establecido que la línea 
11498, a nombre de GM CHN, poscia vínculos con el abonado 3425, 
perteneciente a YH A SN, el cual poseería vínculos con la línea 3586 MN, que 
pertenecería a Smaldone. A su vez, este último abonado poseería vínculos con la línea 
1143000, que posee un vínculo con la línea 3513BM a nombre de MB ME 
CI, y otro vínculo con la línea 11360, relacionada con el abonado 3424W, 
a nombre de JW CM TB y utilizada por tres de los acusados. 


Si bien no se pudieron corroborar desde la Unidad tales extremos -no 
tuvimos a la vista el material y no correspondería desde un punto de vista metodológico 
auditar un trabajo ya hecho-, se aprecia que se trata de un elemento probatorio cuyo 
estudio debería desarrollarse en aras de recabar mayor información sobre las relaciones que 
sugiere y, de este modo, sobre la eventual vinculación que Smaldone podría poseer con sus 
consortes de causa. 

Desde luego, hablar por teléfono no debería, desde nuestro punto de vista, 


r el único elemento objetivo para vincular personas ya que, como sostuvimos a lo largo 
del presente, las evidencias deberían analizarse a partir de los rastros que dejó el ataque 


informático, o los que los investigadores supieron/pudieron recolectar antes de que se 


borren. 


2.15. Allanamientos y elementos secuestrados, 
A lo largo de la investigación fue posible obtener los dispositivos de 


telefonía celular que le fueron secuestrados, en el marco de diferentes requisas practicadas 
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en el centro de detención de Las Flores, a los acusados que se encontraban alojados allí. 
Asimismo, se dispusieron una serie de allanamientos en diferentes domicilios que surgieron 
de la pesquisa, en particular, aquellos correspondientes a las presuntas viviendas particulares 
de los acusados y allegados, como así también, del pabellón que ocupaban dentro del penal, 
cuyo detalle se desprende del auto de fs. 509 y ss. 
En el marco de los mismos, se logró dar con diversos elementos y 
documentación que podrían guardar vinculación con el caso. 
En particular, cabe destacar que en el domicilio de la calle O. 
Santa Fe, que correspondería a SMN MAN RIN, se secuestraron, entre otros 
elementos, una caja de celular con inscripción “Redmi 6A” y correspondencia de 
MercadoPago a nombre de JM CHEE “TN lo que colabora a la hora de acreditaryí 
vinculación con algunos de los usuarios de la plataforma MercadoLibre individualizidos 


anteriormente. 


llevado a cabo hasta el momento, de acuerdo a lo que surge de las constancias que fuekon 





aportadas a la Unidad. 


3. Medidas sugeridas. 


Con el objeto de incorporar nuevos elementos que colaboren en el 





esclarecimiento del caso, como así también, en la identificación de los autores detrás de la 


maniobra bajo estudio, se sugiere llevar a cabo las siguientes diligencias: 


3.1. Federación.net 
Tal como se planteó anteriormente, se sugiere requerirle a la compañía 
Maringa Maderas S.A. (con domicilio en calle nro. 2, Parque Industrial Federación) que 


brinde los legs de acceso de sus servidores y cualquier otro registro vinculado a la actividad 


de los dispositivos vinculados a su red durante el periodo en el que se sucedieron los 


hechos, como así también, que informe si tomó conocimiento de haber sido víctima de 
algún ataque informático para las fechas señaladas y, de ser así, que brinde la información 


que obre en su poder en relación al mismo. 


3,2, Google LLC. 


Se sugiere requerirle a Google LLC. la información básica de susctiptor del 
cliente que tuvieron a disposición la dirección IP 157.245 MW en las circunstancias de 


tiempo en las que se detectó su utilización por parte de los autores de la maniobra. 


3.3. DigitalOcean. 


Sugerimos a su vez que se le solicite a la compañía DigitalOcean_la 
información relativa a el/los clientes que tuvieron a disposición las direcciones IP 
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138.197. BN, -2.03 165.227. en las fechas horarios relevados, 
HB AA y 


concretamente, toda la información relativa a la identidad, medios de pago y direcciones IP 











utilizadas por las personas que contrataron y utilizaron su servicio, para lo cual, sugerimos 





se libre exhorto a las autoridades estadounidenses, toda vez que la empresa no brinda 








información a las autoridades extranjeras por otros mecanismos más informales, 

Para ello existen varias normas que se pueden invocar: (i) el Tratado de 
Asistencia Jurídica Mutua en Asuntos Penales entre el gobierno de la República Argentina y 
el Gobierno de los Estados Unidos de América -ley 24.034- (cuya autoridad central es el 
Ministerio de Justicia), (ii) la Convención Interamericana sobre Asistencia Mutua en 
Materia Penal -ley 26139- (cuya autoridad central es la Cancillería), (ii) dependiendo del 
caso, la Convención de las Naciones Unidas contra la Delincuencia Organizada 
Transnacional -ley 25632- que tiene normas sobre vigilancia electrónica y sobre operaciones 
encubiertas para un limitado número de delitos y (iv) el Convenio sobre la 
Ciberdelincuencia o Convención de Budapest-ley 27411-, que tiene la ventaja de estar 


previsto especificamente para este tipo de situaciones. 


3.4, Análisis de los dispositivos. 


Proponemos que lleve a cabo un procedimiento de extracción lógica de la 
información obrante en la totalidad de los dispositivos de telefonía celular afectados a la 


causa, para luego proceder a su análisis en busca de nuevos insumos que pudieran resultar 
de interés para el esclarecimiento del caso, 

Deberá prestarse especial atención en identificar las aplicaciones instaladas, 
en particular, si alguno de ellos posee el programa TeamViewer, las aplicaciones de 
MercadoLibre, MercadoPago, Twitter y/o Telegram, como así también, los nombres de 
usuario y/o las cuentas de correo electrónico asociadas al teléfono y a las diferentes 
aplicaciones. Además, deberá intentarse recabar los historiales de navegación de los 
navegadores que posean instalados, a fin de establecer si se desprende de los mismos el 
acceso a los sitios web de las empresas detrás de los diferentes servicios utilizados para 
llevar a cabo la maniobra. 

Dicho análisis podría hacerse extensivo a los restantes dispositivos 
informáticos secuestrados, sin perjuicio de lo cual, dadas las características inherentes a los 
teléfonos celulares, y habida cuenta que se habría constatado el uso de dispositivos de ésta 
naturaleza para acceder a distintas cuentas, las probabilidades de encontrar información de 


interés para el caso son mayores para el caso de los celulares en comparación a los demás 


dispositivos, por lo que su análisis se presenta cuanto menos como prioritario. 


3.5 Entrecruzamientos. 


Se ordene un nuevo estudio tendiente a sistematizar, analizar y entrecruzar la 
información correspondiente a los listados de llamadas, de las titularidades de las líneas 
telefónicas y de los números de IMEI que fueron incorporados a lo largo de la pesquisa, 
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como así también, los números de línea y los registros de contactos de los teléfonos cuyo 


análisis fue sugerido precedentemente y sus números de IMEI -incluyendo los números que 
se desprenden de la caja del teléfono celular REDMI GA que fuera secuestrada en el 
domicilio de SH MAY RE y los números de teléfono asociados a las tarjetas 
SIM secuestradas en los allanamientos, ello a los efectos de buscar posibles relaciones y 
corroborar los vínculos enunciados por el personal policial que llevó a cabo la investigación 
(en particular, los que se desprenden del informe de fs.1534 del legajo de prueba), 


referenciando adecuadamente la fuente de información que permita acreditar 









extremos. 
Resultaría de utilidad, a su vez, que el análisis propuesto incorpore como 
insumo el listado de contactos relevados en torno a la cuenta de Telegram (Ogoxralcaks, 


utilizada desde la VPS de Full Tech Solutions, y en particular, que éstos últimos sean 


rio 
á de la Ciudad 


contrastados con aquellos que se extraigan de los teléfonos secuestrados, a los efectos de 


verificar si los contactos de Telegram coinciden con los de alguno de los dispositivos, l4 que 






permitiría afirmar, con cierto grado de probabilidad, que la cuenta estuvo activa e 


teléfono que sea eventualmente identificado. 


Maximiliano G. M 


Para el caso que se trate de un dispositivo que haya podido ser utilizado por 
diversas personas, podría intentar establecerse quién lo utilizaba al momento de los hechos 
partiendo, por ejemplo, de las líneas con las que se concretaron comunicaciones en el 


periodo durante el cual tuvieron lugar los hechos. 


3.6. Twitter. 
Se solicite a Twitter International Company la información básica de 


suscriptor de la cuenta (Dlagorralcaks, 
panna 


Cabe señalar que la política de la empresa en lo que respecta a los pedidos de 





asistencia formulados en el marco de investigaciones criminales en trámite ante países 
extranjeros, es Únicamente dar a conocer información de sus usuarios cuando ésta sea 
requerida por medio de un proceso legal válido; es decir, que la petición sea hecha usando 
los procedimientos disponibles en virtud de un tratado de asistencia legal mutua (MLAT) o 
a través de una carta rogatoria. 

Entonces, a diferencia de otras empresas que tienen una política distinta 


(Google o Facebook, por ejemplo), Twitter no comparte voluntariamente a las autoridades 


A, 





extranjeras ni siquiera la información de suscriptor. 

Como excepción, en aquellos casos en que exista una emergencia apremiante 
que implique peligro de muerte o lesiones físicas graves a una persona y la compañía 
pudiera contar con la información necesaria para evitarlo, se brinda una vía alternativa para 


solicitar la información, más rápida y eficaz (para mayor claridad pueden leerse las 





SSONI 
GIUUBAD 


JOM) 


“Directrices para agentes de policía” en https://help.twitter.com/es/rules-and- 









policies /twitter-law-enforcement-supportHf5). Dicho supuesto, sin embargo, no se daría en 


el presente caso. 
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La solicitud de asistencia legal debe ser firmada por el juez interviniente ye? 


enviada a las autoridades de los Estados Unidos para que, a su vez, emita orden judicial 
e e AES de sos Estados Unidos 





dirigida las oficinas de Twitter International Company ubicadas en 1355 Market Street, Suite 
900, San Francisco, CA 94103, United States of America. 
Para hacer el exhorto, hay varias normas que se pueden invocar, como ya se 


mencionó anteriormente (ver punto 3.3). 


4. Visión de conjunto. 


Para finalizar, entendemos que la investigación de este caso no debe 


desatender cierto contexto que fue insinuado y que, por diversas razones, conocemos desde 
Sesatencer cierto contexto, 


la UFECI. 
Los hechos parecerían estar conectados de alguna manera con el ataque que 


sufriera Patricia Bullrich en 2017 y uno similar que sufriera la actual ministra, Sabina 
Frederic, al asumir el cargo en 2019, 


En este último caso nos tocó intervenir (Legajo UFECI 1646/2019, causa 
CFP 2905/2020 del Juzgado Federal n° 6) quienes tomaron control de la cuenta publicaron 


en ella agradeciendo a Smaldone la provisión de las credenciales. 


Luego, durante el año 2020, el suscripto recibió mensajes intimidatorios, 
acompañados de imágenes de abuso sexual infantil, remitidos desde una casilla que 
pretendía atribuirse al propio Smaldone. En ellas se me amenazaba de muerte por_lo 


actuado en esta causa, El hecho fue denunciado y tramita en la Fiscalía Federal n° 7. 


La mención a Smaldone en el ataque a la Ministra Frederic y la burda 


atribución al nombrado de las amenazas que recibiera quien suscribe cuando ya se nos había 
dado intervención en el caso no parecen casuales. 


a 


5. Consideraciones finales. 
Con el presente consideramos evacuada la consulta efectuada, quedando a su 
disposición para asistirlos en el futuro. 


Saludo a Ud, muy atentamente. 


Firmado digitalmente por 
AZZOLIN Horacio Juan 
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